Affaire Soumaré : la CNIL rappelle le rôle de la traçabilité pour sécuriser l'accès aux données
Une leçon importante à rappeler pour la sécurisation des données sensibles, y compris en entreprises.
PublicitéL'Affaire Soumaré, ayant vu des élus se baser sur des informations de provenance douteuse pour porter des accusations contre leur adversaire, a un volet informatique qu'il convient de ne pas négliger. La CNIL vient d'ailleurs d'effectuer un rappel des plus opportuns sur les règles de gestion de tous les fichiers sensibles, ce aux détours d'un communiqué. En l'occurrence, il semblerait que les informations aient été extraites en grande partie du trop fameux STIC dans lequel la CNIL avait trouvé de nombreuses erreurs. Or l'accès à ce fichier ultra-sensible est sévèrement réglementé. Pour garantir le respect des règles d'accès aux données du STIC, une traçabilité très pointue des accès a été instaurée sur exigence de la CNIL. L'Affaire Soumaré étant en train de prendre un tour judiciaire, la récupération des accès réels aux informations ayant servi de base aux élus en cause va être fondamentale pour retrouver les coupables des manquements initiaux. Dans son communiqué, la CNIL rappelle en effet « que l'article 7 du décret du 5 juillet 2001 prévoit une traçabilité des recherches effectuées ainsi qu'un historique des consultations de ce fichier qui devraient faciliter la clarification et l'établissement des faits. L'importance de cette traçabilité avait d'ailleurs été soulignée en janvier 2009 dans le rapport général sur le contrôle du STIC transmis aux ministères concernés. » Pour les DSI, l'Affaire Soumaré doit être l'occasion de vérifier que l'accès aux données sensibles est non seulement protégé contre des intrusions mais également contre des usages contraires aux règles de gestion opérés par des utilisateurs légitimes (par exemple : extraction de données clients revendue à un concurrent). Cela implique une forte traçabilité des accès aux données en lecture, suppression ou modification.
Article rédigé par
Bertrand Lemaire, Rédacteur en chef de CIO
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire